データプライバシー法の比較 – タイ

    By Veeranuch Thammavaranucupt and Thaya Uthayophas, Weerawong Chinnavat & Partners
    0
    221

    アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。


    インドネシア

    フィリピン

    タイ

     

    タイの2019年個人データ保護法(PDPA)は、自然人を無許可または違法な個人データの収集、使用、開示から保護するために公布されました。PDPAは2019年5月27日に発効しましたが、covid-19の拡大により、タイ政府は施行を2021年5月31日に延期しました。ただし、最低限の安全基準がすでに適用されています。データ管理者は、スタッフと関係者に個人データ保護の重要性を通知する必要があり、特定の管理上、技術上、および物理的な保護手段を実装する必要があります。

    Veeranuch Thammavaranucupt, Senior Partner, Weerawong Chinnavat & Partners, Bangkok
    Veeranuch Thammavaranucupt
    バンコクの Weerawong Chinnavat&Partners のシニアパートナー
    Tel: + 66 2 264 8000
    Email: veeranuch.t@weerawongcp.com

    データ権限

    PDPAは、PDPCの下に専門家委員会と小委員会を備えた個人データ保護委員会(PDPC)を設立しました。 法第16条に従い、委員会の義務には以下が含まれます。

    (1) 個人データを保護するための措置または手順を決定する。

    (2) 通知または規制の発行。

    (3) 保護手順の基準、および国外に転送されるデータの保護を発表する。 そして

    (4) 個人データをサポートおよび保護するためのマスタープランの準備。

    PDPAはまた、監査役会とともに、個人データ保護のための学術サービスの中心として機能する州機関であるPDPCの事務所を設立しました。

    PDPAの多くの要件は、PDPCによって発表および実装される予定の規則によってカバーされます。2021年2月、規制当局は、2021年6月までに以下の規則を開始する計画で、規則草案に関する公聴会を実施しました。

    (1) 同意を得るための基準と方法。

    (2) 個人データの処理に関する通知。

    (3) 機密性の高い個人データを処理するための適切なデータ保護方法。

    (4) 海外へのデータ転送の基準と保護。

    (5) 個人データ活動記録、データ主体の要求の方法、および個人データ侵害に関する報告。

    (6) データ処理の安全対策。

    (7) データ保護責任者。 そして

    (8) 苦情および行政執行に関する手続き。

    免除分野と機関

    PDPAは、タイのデータ管理者またはデータ処理者による個人データの収集、使用、および開示を規制します。ただし、PDPAは以下には適用されません。

    そのような人の個人的な利益または家事活動のためにのみそのようなデータを収集する人によって収集されたデータ。

    (1) 公的機関の運営。

    (2) マスメディア、美術、または文学の活動のためにのみ収集されるデータ。

    (3) 議会または議会委員会の義務と権限に基づくデータ。

    (4) 裁判所の対審と判決、および訴訟手続きにおける責任者の業務運営。

    (5) 信用情報会社とそのメンバーによって収集されたデータ。そして

    (6) 故人のデータ。

    クレジット会社やヘルスケア会社などの特定の分野は、他の特定の法律や従属規制に準拠する必要があります。

    個人データ

    PDPAの第6条に従い、個人データとは、直接的または間接的に識別可能な人物に関連する情報を意味しますが、死亡した人物は除きます。

    個人データには、一般的な個人データ(第24条)と機密性の高いデータ(第26条)の2種類があります。一般的なデータの収集には、データ主体の同意が必要です。個人データの例には、データ主体の住所、電子メールアドレス、電話番号、クレジットカード情報などが含まれます。

    PDPAは、機密性の高い個人データに対してより厳しい規則を課します。PDPAの第26条および27に従い、機密性の高い個人データの処理は、データ主体の明示的な同意なしに禁止されており、明確な声明で確認され、行動から推測される同意ではありません。重要な利益、公開データ、法的請求、法的義務などのデータを処理するための合法的な根拠がある場合、同意の要件には例外があります。

    Thaya Uthayophas, Associate, Weerawong Chinnavat & Partners, Bangkok
    Thaya Uthayophas
    バンコクの Weerawong Chinnavat&Partners のアソシエイト
    Tel: + 66 2 264 8000
    Email: thaya.u@weerawongcp.com

    データ管理者と処理者

    PDPAは、個人データを管理する人と個人データの処理サービスを提供する人を区別します。

    PDPAの第6条に準拠:

    . データ管理者は、個人データの収集、使用、または開示について決定を下す権限を持つ自然人または法人です。

    . データ処理者は、データ管理者によって、またはデータ管理者に代わって与えられた命令に従って、個人データの収集、使用、または開示に関連して運営する自然人または法人です。

    PDPAの第37条は、安全対策と検証手順の調整、および個人データに関連する違反の通知をPDPC当局に提供することを含む、データ管理者の義務を定めています。

    PDPAの第37条は、データ管理者が個人データの不正または違法な損失、アクセス、使用、変更、修正、または開示を防ぐために適切な安全対策を提供および維持する必要があると規定しています。

    PDPAの第40条は、安全対策の調整、個人データに関連する違反のデータ管理者への通知、ログの準備と維持など、データ処理者の義務を定めています。

    事業の過程で個人データを収集するほとんどの企業は、管理者または処理者と見なされ、PDPAに準拠する必要があります。データ管理者またはデータ処理者がタイ国外にいる場合、PDPAは、タイにいる主体の個人データの収集、使用、または開示に適用されます。データ管理者またはデータ処理者の活動は次のとおりです。(1)支払いがデータ主体によって行われたかどうかに関係なく、タイにいるデータ主体への商品またはサービスの提供。 (2)タイで行動が行われるデータ主体の行動の監視。

    データ収集

    PDPAの第21条に基づき、個人データの収集、使用、または開示は、データ主体に新しい目的が通知されており、収集、使用、または開示の前に同意が得られている場合を除き、データ主体に以前に通知された目的とは異なる方法で行われてはなりません。

    PDPAの第23条に従い、データ管理者は、個人データの収集前または収集時に、データ主体に次のことを通知する必要があります。

      1. 個人データの収集の目的。
      2. 個人データの保管期間。
      3. データ管理者の身元(連絡先の詳細)。
      4. データ主体が個人データを開示する理由。
      5. 個人データが開示される可能性のある受信者の身元。
      6. 収集する必要のある情報。
      7. データ主体の権利。 そして
      8. 情報を提供しないことの影響。

    第39条は、データ管理者が次の記録を維持する必要があると述べています。

      1. 収集された個人データ。
      2. 個人データの収集の目的。
      3. データ管理者の詳細。
      4. 個人データの保持期間。
      5. 個人データにアクセスする権利と方法。
      6. 同意要件から免除された個人データの使用または開示。
      7. 要求または異議の拒否。 そして
      8. 個人情報の漏えいを防止するための適切な安全対策の説明。

    PDPAの第30条に従い、データ主体は、データ管理者の責任の下で、彼または彼女に関連する個人データへのアクセスを要求し、そのコピーを取得する権利があります。PDPAの第35条に従い、データ管理者は、個人データが正確、最新、完全であり、誤解を招かないようにする必要があります。

    法的な根拠

    PDPAの第20条に従い、民事および商法の第22-24条で規定されているとおり、未成年者の同意を与える行為が未成年者が単独で行う権利を有する行為ではない場合、未成年者に対する親の責任を持つ者の同意が必要です。未成年者が10歳未満の場合、このような同意も必要です。

    PDPAの第24および27に従い、データ管理者は、以下の理由で合法的な根拠がない限り、データ主体の同意なしに個人データを処理してはいけません。調査、重要な利益、契約、公務または当局、データ管理者の正当な利益(データ主体の権利とのバランス)、および法的義務。

    データの侵害

    PDPAの第37条(4)は、データ管理者がPDPCに知ってから72時間以内に、PDPCの当局に個人データの侵害を通知することを要求しています。

    PDPAに基づいて定められた違反に対する罰則には、刑事罰と民事罰の両方が含まれます。刑事罰には、最高1年間の服役、および/または最高100万バーツ(32,500米ドル)の罰金が含まれます。

    さらに、違反が取締役または会社の責任者の指示または不作為によって引き起こされた場合、彼/彼女はPDPAの下で同じ罰則の対象となる可能性があります。民事責任には、実際の損害の最大2倍の懲罰的損害賠償が含まれます。民事損害賠償は、集団訴訟の下でも請求される可能性があります。さらに、PDPCの専門家委員会は、違反者に対して最大500万バーツ(163,417米ドル)の罰金を科す権限があります。

    結論

    治外法権の適用により、PDPAは、個人データの収集と使用、または国内の自然人の行動の監視を目的としてタイ内外のビジネスに大きな影響を与えることが期待されています。

    Weerawong Chinnavat & Partners logo

    WEERAWONG CHINNAVAT & PARTNERS

    22nd Floor, Mercury Tower

    540 Ploenchit RoadLumpini Pathumwan
    Bangkok 10330,Thailand

    Tel: +662 264 8000

    Fax: +662 657 2222

     

    www.weerawongcp.com